基于特权提升多维量化属性弱点分类法研究.pdfVIP

2004 年7 月 通 信 学 报 Vol.25 No.7 第25 卷 第7 期 JOURNAL OF CHINA INSTITUTE OF COMMUNICATIONS July 2004 基于特权提升的多维量化属性弱点分类法的研究 张永铮 云晓春 胡铭曾 哈尔滨工业大学 计算机网络与信息安全技术研究中心 黑龙江 哈尔滨 150001 摘 要 在分析国际上典型的弱点分类方法的基础上 提出了一种基于特权提升的多维量化属性 的弱点分类法 并以三个弱点为例 分析了该弱点分类法的特点 给出了弱点的风险评估算式以 及风险评估级的划分 1 关键词 网络安全 计算机弱点 弱点分类 特权提升 风险评估 中图分类号 TP393 文献标识码 A 文章编号 1000-436X(2004)07-0107-08 Research on privilege-escalating based vulnerability taxonomy with multidimensional quantitative attribute ZHANG Yong-zheng, YUN Xiao-chun, HU Ming-zeng (Research Center of Computer Network and Information Security Technology, Harbin Institute of Technology, Harbin 150001, China) Abstract: On the basis of analyzing of research achievements of typical vulnerability taxonomies in the world, a privilege-escalating based vulnerability taxonomy with multidimensional quantitative attribute is presented in this paper. Then we give examples of three vulnerabilities to illustrate the characteristics of this taxonomy, and present the risk evaluation formula and ranks of the evaluation level of risk. Key words: network security; computer vulnerability; vulnerability taxonomy; privilege escalation; risk evaluation 1 引言 在 Internet 高速发展的今天 黑客攻击越来越受到全社会的广泛关注 黑客经常利用计 算机软件或配置上存在的弱点 进行无授权访问 特权提升 DoS 攻击等 严重地危害了系 统安全 弱点分类法是弱点研究中的一个重要课题 系统地研究弱点分类法对深入理解已知 弱点的产生缘由 进一步的预防以及新弱点的发现具有一定的指导意义 同时 为警示软件 开发者及使用者避免同样的错误再次发生提供了帮助 目前 弱点分类法主要应用于计算机 系统的安全评估 入侵检测以及软件工程等领域 近十年来 很多研究机构和研究人员都开 展了这方面的工作 国际上比较有成效的工作有 Aslam 和Krsul 的弱点分类法[1,2] Bishop 的6 轴分类法[3] [4] [5] Knight 的四类型分类法 以及Jiwnani 在前人基础上完善的分类法 而国 [6] 内的主要工作是整合并扩展了以上分类法 收稿日期 2004-02-10 基金项目 国防 十五 预研基金